Решена Бесплатные смс, mybackdoor и т.п.

Статус
В этой теме нельзя размещать новые ответы.

December

Новый пользователь
Сообщения
5
Реакции
0
Доброго времени суток.
Где то подцепил вирус, который предлагает бесплатные смс-ки, редиректит в браузере на mybackdoor и время от времени недаёт открывать сайты.
Прошу Вашей помощи. Заранее спасибо.
 

Вложения

  • virusinfo_syscheck.zip
    21.6 KB · Просмотры: 1
  • virusinfo_syscure.zip
    22.4 KB · Просмотры: 3
  • info.txt
    56 KB · Просмотры: 0
  • log.txt
    41.8 KB · Просмотры: 5
Приветствую December, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
   end;
QuarantineFile('C:\Users\61CB~1\AppData\Local\Temp\x1izhk74.exe','');
 QuarantineFile('C:\Windows\apppatch\smryol.exe','');
 QuarantineFile('C:\Windows\system32\sbkkzjh.dll','');
 QuarantineFile('C:\Users\1\AppData\Roaming\KickDll.dll','');
DeleteFile('C:\Windows\system32\sbkkzjh.dll');
 DeleteFile('C:\Windows\apppatch\smryol.exe');
DeleteFile('C:\Windows\system32\eodukoj.dll');
  DeleteFile('C:\Users\61CB~1\AppData\Local\Temp\x1izhk74.exe');
 DeleteFile('C:\Windows\Tasks\8669ye.job');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\userinit');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{18FD7844-3AB9-4B43-9314-C1C7A7F00CE0}: NameServer = 37.157.255.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{C10E608C-0EA2-48BA-897D-CB1256919B75}: NameServer = 37.157.255.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 37.157.255.150
O17 - HKLM\System\CS2\Services\Tcpip\..\{18FD7844-3AB9-4B43-9314-C1C7A7F00CE0}: NameServer = 37.157.255.150
O17 - HKLM\System\CS3\Services\Tcpip\..\{18FD7844-3AB9-4B43-9314-C1C7A7F00CE0}: NameServer = 37.157.255.150
O20 - AppInit_DLLs: C:\Windows\system32\sbkkzjh.dll

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
Последнее редактирование:
Sfera, первый скрипт, который Вы мне написали, не запускается. Появляется сообщение об ошибке: "Ошибка: ';' expected в позиции 30:4".
 
выполните снова, я поправила скрипт, мои извинения
 
В HijackThis отсутствует строчка "O20 - AppInit_DLLs: C:\Windows\system32\sbkkzjh.dll"

Quarantine.zip отправил.

Логи готовы.
 

Вложения

  • virusinfo_syscure.zip
    22.2 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    17.4 KB · Просмотры: 0
  • mbam-log-2012-12-26 (09-02-35).txt
    156.1 KB · Просмотры: 3
  • log.txt
    40.5 KB · Просмотры: 3
  • info.txt
    54 KB · Просмотры: 0
"O20 - AppInit_DLLs: C:\Windows\system32\sbkkzjh.dll"
чУдно

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ExecuteRepair(10);
ExecuteRepair(20);
RebootWindows(true);
end.

ПК перезагрузится

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 
Security Check by glax24 version 0.1.5.49 rc1
WebSite: www.safezone.cc
DataLog 26.12.2012 11:28:52
Program directory: C:\Users\Апрелич\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.9
__________________________________________________

WIN_7(6.1) Build 7601 (x86) HomePremium Lang: Russian(0419)
Service Pack 1
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2012-12-21 18:07:06
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Microsoft Security Essentials
Windows Defender
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.1.522.0
-------------OtherUtilities-----------------------
CCleaner v.2.33
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 25 v.6.0.250 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
Java(TM) 7 v.7.0.0 Внимание! Скачать обновления
^Скачайте jre-7u10-windows-i586.exe^
Java(TM) SE Development Kit 7 v.1.7.0.0 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-7u10-windows-i586.exe)^
DJ Java Decompiler v.3.11.11.95 v.1.7
-------------AppleProduction----------------------
QuickTime v.7.68.75.0 Внимание! Скачать обновления
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.0.45.2 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Reader 9.5.2 v.9.5.2 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 12.12 v.12.12.1707
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.12.1707.0
-------------EndLog-------------------------------
 

Вложения

  • SecurityCheck.txt
    3.2 KB · Просмотры: 3
Обновитесь, пожалуйста по ссылкам - закроем уязвимости.
Все это потенциальные дыры для зверья.

Что с проблемой?
 
Понял, обновлюсь.

Проблема решена. Реклама и переадресация исчезли, сайты открываются. Осталась только 1 проблема - на этом форуме у меня так и не прогрузилась ни одна картинка. Вместо картинок надписи. Эта проблема только в опере, в IE всё нормально. Остальные сайты в опере нормально отображаются.

Большое спасибо за помощь, без Вас не справился бы.
 
+
Вместо картинок надписи. Эта проблема только в опере,
сорри, что вмешиваюсь... Включите режим турбо и посмотрите, что с проблемой (последние билды у Оперы в этом плане, что-то сыроватые. Многие жалуются на проблемы с отображением сайтов. На версии Opera 12.12 у меня тоже были подобные проблемы правда на других сайтах).
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу